Salta al contenuto
Tutorial

Attack Simulator di Defender for Office 365: tutorial phishing simulation per PMI italiane

Guida pratica per IT manager di PMI sull'uso di Attack Simulator: configurazione prima campagna phishing, scelta template italiano, analisi risultati, training mirato. Setup testato su PMI 80 dipendenti.

SynSphere Italia 11 min di lettura

Il phishing resta la prima causa di breach in PMI italiane: secondo i dati Verizon DBIR 2025, 74% degli incidenti finance/SMB coinvolge phishing/social engineering come vettore iniziale. La buona notizia: ogni PMI con Microsoft 365 E5 o Defender for Office 365 Plan 2 ha gia incluso uno strumento potente per misurare e ridurre il rischio: Attack Simulator.

Questa guida documenta passo passo la prima campagna phishing simulation per PMI italiana 80 dipendenti, dal setup tecnico al training post-campagna. Testato in casi reali, lessons learned inclusi.

Prerequisiti

Per usare Attack Simulator serve uno fra:

  • Microsoft 365 E5 (Attack Simulator incluso)
  • Microsoft 365 A5 (education tier)
  • Defender for Office 365 Plan 2 (add-on a M365 E3 / Business Premium ~5 USD/utente/mese)

Microsoft 365 Business Premium NON include Attack Simulator (solo Defender for Office 365 Plan 1 che ha Safe Links + Safe Attachments ma non simulazioni). Per Business Premium serve upgrade add-on Defender for Office 365 Plan 2.

Permessi richiesti: Security Administrator o Attack Simulator Administrator sul tenant.

Step 1: accesso e first impression (10 minuti)

Vai su security.microsoft.com e nel menu sinistro Email & collaboration > Attack simulation training.

Prima volta? Microsoft chiede di inizializzare il servizio (1-2 minuti background). Poi vedi la dashboard con 4 tab principali:

  • Overview: dashboard riepilogo simulazioni attive e training compliance
  • Simulations: catalogo simulazioni eseguite + creazione nuove
  • Payloads: template phishing email disponibili (1.000+ tra built-in e custom)
  • Reports: report dettagliati performance utenti

Per il primo run consigliato: tab Simulations > + Launch a simulation.

Step 2: scelta tecnica della campagna (15 minuti)

Microsoft offre 5 tecniche phishing principali nel wizard:

  1. Credential Harvest: email con link che porta a landing page fake (es. fake Microsoft 365 login)
  2. Malware Attachment: email con allegato Office che chiede di abilitare macro
  3. Link in Attachment: email con allegato PDF/Office che ha link malevolo dentro
  4. Link to Malware: email con link diretto a malware download
  5. Drive-by URL: email con link a sito che simula vulnerability exploit

Per prima campagna PMI italiana raccomandato: Credential Harvest. Riproduce il pattern phishing piu comune in PMI (fake login pagine cloud), risultati interpretabili, training intuitivo.

Click Credential Harvest > Next.

Step 3: nome campagna e descrizione (5 minuti)

  • Name: Q2-2026 Phishing Baseline (convenzione interna trimestrale)
  • Description: “Prima campagna phishing baseline per misurare click-through rate medio aziendale e identificare utenti che richiedono training mirato”

Importante: usa convention nomi standardizzata. Per PMI con campaign trimestrali raccomandato format [Trimestre]-[Anno] [Tipo] per analisi trend over time.

Step 4: scelta payload italiano (20 minuti)

Tab Select a payload. Filter per Language: Italian. Microsoft offre ~30 template phishing in italiano. Per primo round raccomandato scegliere 3-5 payload di difficolta progressiva:

Difficolta bassa (segnali phishing evidenti):

  • “Fatturazione urgente - clicca per visualizzare” (mittente generico, urgency tone, errori grammaticali)
  • “Il tuo pacchetto e fermo in dogana” (mittente fake corriere, link sospetto)

Difficolta media (piu credibili):

  • “Microsoft 365 - Aggiorna le tue credenziali” (logo Microsoft, branding curato, dominio simile a microsoft.com)
  • “Promozione Aruba PEC - rinnovo gratuito 12 mesi” (mittente Aruba simulato, italiano)
  • “Documento condiviso - SharePoint” (notifica SharePoint replicata)

Difficolta alta (sofisticati, spear phishing):

  • “Riunione cancellata - aggiornamento calendario” (impersona collega/manager)
  • “Richiesta documenti contabili - urgente entro venerdi” (impersona commercialista)

Best practice critica: includi sempre almeno 1 payload di difficolta alta che impersona scenari realistici aziendali. Quel payload misura veramente la security awareness avanzata.

Per ogni payload scelto puoi:

  • Preview: vedere email + landing page come la vedra l’utente
  • Customize: modificare testo per renderlo specifico (es. inserire nome reale CEO, riferimento progetto in corso) — pattern definito spear phishing simulation che produce risultati piu realistici

Step 5: target audience (15 minuti)

Include users > scegli tra:

  • All users: tutti i dipendenti (raccomandato per baseline iniziale)
  • Include specific users: lista nominativa
  • Include specific groups: gruppi Entra ID o Distribution List

Per PMI 80 dipendenti raccomandato all users in prima campagna baseline. Eccezioni da escludere:

  • Utenti IT/Security team (loro non devono ricevere — falserebbero il baseline)
  • Account di servizio / mailbox condivise
  • Utenti in ferie note al momento dello scheduling

Number of users targeted: minimo 30-50 per avere campione statisticamente significativo. Sotto 30 il dato e troppo soggetto a rumore.

Step 6: training assignments (20 minuti)

Sezione critica per ROI della simulazione. Training assignment definisce cosa succede ai dipendenti che cliccano sul link o inseriscono credenziali.

Microsoft offre 3 livelli di training automatici:

Nano training (3-5 minuti):

  • Video brevi su 1 pattern phishing specifico
  • Buoni per primi reminder, non per training intensivo

Standard training (8-15 minuti):

  • Video + quiz interattivi + key learnings
  • Pattern raccomandato per chi clicca senza inserire credenziali

Intensive training (20-30 minuti):

  • Modulo completo Microsoft Learn + assessment finale
  • Per chi inserisce credenziali (most concerning behavior)

Configurazione raccomandata baseline campagna:

  • Chi non clicca: Nessun training mandatory (resta a un reminder generale post-campagna)
  • Chi clicca link ma non inserisce credenziali: Standard training automatic
  • Chi inserisce credenziali: Intensive training + flag al manager

Compliance deadline: 14 giorni dal trigger. Reminder automatici a 7 e 12 giorni.

Step 7: scheduling (10 minuti)

Send simulation between: scegli intervallo di delivery (raccomandato 3-5 giorni lavorativi, no fine settimana). Microsoft distribuisce email randomicamente nell’intervallo per evitare pattern “tutti alle 9:00 lunedi”.

Important: NON annunciare la simulazione preventivamente. L’annuncio falserebbe completamente il dato. Annuncio post-campagna invece (vedi Step 9).

Click Launch > conferma. La simulazione inizia.

Step 8: monitoraggio in tempo reale (giorni 1-7)

Dashboard simulazione mostra metriche live:

  • Read rate: % di destinatari che aprono email
  • Click rate: % di destinatari che cliccano sul link (metrica chiave)
  • Compromise rate: % di destinatari che inseriscono credenziali (metrica critica)
  • Report rate: % di destinatari che usano il pulsante “Report phishing” Outlook

Benchmark PMI italiana mediana (raccolto su 30 campagne 2024-2026):

  • Read rate: 70-85%
  • Click rate: 15-25% (difficolta bassa-media), 25-40% (difficolta alta)
  • Compromise rate: 4-12%
  • Report rate: 8-20% (cresce con maturity security culture)

Cosa fare durante la campagna:

  • NON intervenire, lascia che si concluda naturalmente
  • NON rispondere a email di dipendenti che ti chiedono “e legittima questa email?” (rispondi solo a fine campagna)
  • Monitor solo metriche aggregate per trend trimestrali

Step 9: post-campagna e comunicazione (30 minuti)

Una volta conclusa la simulazione (tipicamente 5-7 giorni), e CRITICO comunicare risultati alla popolazione aziendale. Senza comunicazione la simulazione e percepita come “trappola IT” e crea distrust.

Email aziendale di chiusura campagna (template raccomandato):

Oggetto: Simulazione phishing aziendale - risultati e learnings

Ciao team,

Nei giorni scorsi abbiamo eseguito una simulazione di phishing 
controllata su tutti i dipendenti, come parte del nostro programma 
di security awareness trimestrale.

Risultati:
- 23% dei colleghi ha cliccato sul link sospetto
- 7% ha inserito credenziali nella pagina fake
- 18% ha correttamente segnalato l'email come phishing 
  (BRAVI! Pulsante "Report phishing" Outlook funziona)

Cosa significa: siamo in linea con la media settore PMI italiana (15-25% 
click rate), ma c'è margine di miglioramento. Chi e' stato simulato 
ricevera' un breve training automatico nei prossimi giorni — non e' una 
punizione, e' rinforzo positivo per renderci tutti piu' sicuri.

Promemoria pratico — 3 segnali di phishing comuni:
1. Urgency tone ("clicca subito!", "scade oggi!")
2. Mittente diverso da quello atteso (controlla l'indirizzo email 
   completo, non solo il nome)
3. Link che non porta dove dice (passa il mouse sopra senza cliccare,
   vedi l'URL reale in basso a sinistra)

Nuova simulazione fra 3 mesi.

Stay safe!
IT Security

Importante: tono incoraggiante non punitivo. La security awareness migliora con cultura positiva, non con shame.

Step 10: analisi risultati e azioni mirate

Tab Reports del simulation > scarica Detailed simulation report. Identifica:

Pattern 1: utenti high-risk recidivi

  • Chi clicca + insert credentials in piu campagne consecutive
  • Azione: 1-on-1 con utente + manager, training intensivo, eventualmente Conditional Access piu restrittivo

Pattern 2: dipartimenti deboli

  • Es. “Sales clicca 35% vs media aziendale 20%”
  • Azione: workshop dedicato al dipartimento (45-60 min), payload specifici al loro contesto in prossime campagne

Pattern 3: pattern temporali

  • Es. “Picco di click venerdì pomeriggio quando attention bassa”
  • Azione: comunicazione interna sui momenti vulnerabili, reminder pre-weekend

Pattern 4: report rate basso

  • Se solo 5-8% segnala phishing reali, c’e’ opportunita formazione su uso pulsante Report
  • Azione: video tutorial 2 min su come segnalare phishing in Outlook

Cadenza raccomandata e benchmark trimestrale

Pattern raccomandato per PMI italiana:

Campagne trimestrali (4 anno):

  • Q1: baseline + warm-up (difficolta progressiva bassa-media)
  • Q2: focused (spear phishing che impersona scenari reali aziendali)
  • Q3: advanced (multi-stage attacks: link credential harvest + secondo email follow-up)
  • Q4: review + executive report

Trend atteso con programma maturo (2-3 anni):

  • Click rate da 25% a 8-12%
  • Compromise rate da 10% a 2-4%
  • Report rate da 15% a 35-50%

PMI che raggiungono questi benchmark riducono incidenti phishing reali dell’80-90% nei 24-36 mesi.

Errori comuni da evitare

Errore 1: una sola campagna l’anno. Security awareness e muscle memory che richiede ripetizione. Minimo 2 campagne anno, raccomandato 4.

Errore 2: nessuna comunicazione post-campagna. Senza chiusura aziendale percepita come trap. Sempre debrief con tono incoraggiante.

Errore 3: punizione utenti che cliccano. Distrugge culture security. Approccio: rinforzo positivo, training, non shame.

Errore 4: payload troppo facili da spottare. Se 95% non clicca = non hai misurato nulla. Includi sempre payload sofisticati per misurare avanzati.

Errore 5: nessuna correlazione con training Microsoft Learn. Attack Simulator integra il catalogo Microsoft Cybersecurity Awareness. Usa quel catalogo invece di training generici esterni — risparmi budget e ottieni metrica integrate.

Costi reali e ROI

Costi diretti per PMI 80 dipendenti gia in Microsoft 365 E5 o con Defender for Office 365 Plan 2:

  • Attack Simulator usage: 0 EUR (incluso licenza)
  • Setup iniziale interno: 2-3 ore IT manager
  • Comunicazione + governance: 2-3 ore comms/HR per ogni campagna
  • Training time utenti (chi clicca): mediamente 4-8 h totali aziendali per campagna

ROI tipico: prevenire 1 incidente phishing reale all’anno (cost incident PMI media: 50-150 k EUR considerando ransomware/data exfiltration) ha payback istantaneo.

SynSphere - come ti aiutiamo

Pacchetto Attack Simulator setup completo SynSphere (3-5 k EUR una tantum):

  • Discovery scenari rilevanti per il settore della PMI
  • Configurazione Attack Simulator + 4 campagne anno schedulate
  • Template phishing custom italiani specifici PMI (impersona scenari reali settoriali)
  • Workshop kickoff (45 min) per IT + HR + comunicazione
  • Dashboard mensile esecutivo per leadership
  • Hyper-care primi 6 mesi

Per setup self-service contattaci per discovery gratuita 30 min.

Vedi anche Microsoft Defender for Office 365 vs Mimecast per il confronto fra le piattaforme di email security e cyber security PMI italiane 2026 per l’analisi di scenario.

Tag

Prodotti SynSphere correlati

I prodotti del catalogo SynSphere richiamati in questo articolo.

Confronti correlati

Approfondisci con confronti puntuali fra i prodotti citati nell'articolo.

Potrebbe interessarti anche

Articoli correlati per argomento e categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci